Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:ステートレス ファイアウォール フィルター条件のログ記録の構成

この例では、パケットヘッダーを記録するために、標準のステートレスファイアウォールフィルターを設定する方法を示しています。

要件

この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

この例では、ステートレス ファイアウォール フィルターを使用して、送信元または宛先として 192.168.207.222 を持つ ICMP パケットをログに記録してカウントします。

設定

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。

この例を設定するには、以下のタスクを実行します。

CLIクイック構成

この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit] 階層レベルの CLI にコマンドを貼り付けます。

ファイアウォール施設の syslog メッセージ ファイルを設定する

ステップバイステップでの手順

firewallファシリティの syslog メッセージ ファイルを設定するには、次の手順に従います。

  1. firewallファシリティに対して生成されるすべての syslog メッセージのメッセージ ファイルを設定します。

  2. アーカイブされた firewall ファシリティのsyslogファイルに対する権限を、rootユーザーとJunos OSメンテナンス権限を持つユーザーに制限します。

ステートレス ファイアウォール フィルターを構成する

ステップバイステップでの手順

送信元または宛先として 192.168.207.222 を持つ ICMP パケットをログに記録してカウントするステートレス ファイアウォール フィルターicmp_syslogを設定するには:

  1. ステートレス ファイアウォール フィルター icmp_syslogを作成します。

  2. ICMPプロトコルとアドレスでマッチングを設定します。

  3. カウントし、記録し、一致するパケットを受け入れます。

  4. 他のすべてのパケットを受け入れます。

ステートレス ファイアウォール フィルターの論理インターフェイスへの適用

ステップバイステップでの手順

ステートレス ファイアウォール フィルターを論理インターフェイスに適用するには:

  1. ステートレス ファイアウォール フィルターを適用する論理インターフェイスを構成します。

  2. 論理インターフェイスのインターフェイスアドレスを設定します。

  3. ステートレス ファイアウォール フィルターを論理インターフェイスに適用します。

受験者の設定を確認してコミットする

ステップバイステップでの手順

候補の設定を確認してコミットするには、次の手順に従います。

  1. show system 設定モード コマンドを入力して、firewall施設の syslog メッセージ ファイルの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。

  2. show firewall 設定モード コマンドを入力して、ステートレス ファイアウォール フィルターの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。

  3. show interfaces 設定モード コマンドを入力して、インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。

  4. デバイスの設定が完了したら、受験者の設定をコミットします。

検証

設定が正常に機能していることを確認するには、 show log filter コマンドを入力します。

この出力ファイルには、以下のフィールドが含まれています。

  • Date and Time- パケットを受信した日時(デフォルトでは表示されていません)。

  • フィルター操作:

    • A- 受諾 (または次の用語)

    • D- 破棄

    • R- 拒否

  • Protocol- パケットのプロトコル名またはプロトコル番号。

  • Source address- パケット内の送信元 IP アドレス。

  • Destination address- パケット内の宛先 IP アドレス。

    注:

    プロトコルが ICMP の場合、ICMP のタイプとコードが表示されます。その他のすべてのプロトコルでは、送信元ポートと宛先ポートが表示されます。

最後の 2 つのフィールド (両方ともゼロ) は、それぞれ送信元と宛先の TCP/UDP ポートで、TCP または UDP パケットについてのみ表示されます。このログ メッセージは、この一致のパケットが約 1 秒間隔で 1 つだけ検出されたことを示します。パケットの到着が早い場合、システム ログ機能は生成される出力が少なくなるように情報を圧縮し、次のような出力を表示します。